wellsss
資深會員
 
積分 4338
發文 709
註冊 2006-5-5
狀態 離線
|
 #21
勞謝 khiav大的 Language Localizator 6.05 ^^
小的雖然沒有用過這套軟體,不過下來進行中文化看看。
| Quote: | | 手脫由於環境因素及界線拿捏問題暫不考慮,僅偶爾淺談一下,也多少有點兒消極防範 [湘南式人品] 氾濫的意味,呵;修改字型這個倒是可以考慮。 試試溫度:http://www.4shared.com/file/65856485/7bcf20cf/freeRes-fixing.html |
|
感謝yoyo大的手動教學,教學檔做的很棒。
說真的對於ollydbg 還是有很多不了解的地方,
要用也不會用(汗)。
| Quote: | | khiav 兄運氣很好,過去我 Mail 軟體作者求助,經常都是信沉網海收場。 |
|
khiav 兄運氣確實很好,上次我在巴哈網路防護版跟某位除毒專家討論EFix殺隨身毒軟體
,但有時作者本人也不會說明那是他做的,最後被板友提醒@@
那邊常常發除毒心得文的reinfors大就是EFix的作者呢!
EFix:http://reinfors.googlepages.com/
| Quote: | 文章轉自:巴哈姆特
原文作者:reinfors
【心得】sprint.dll造成的60秒關機和RPC錯誤
這幾天碰到有夠多....0rz
又剛好假日我沒辦法拿到樣本之後去作測試
不過大致行為如下:
產生下列檔案
%systemroot%\system32\sprint.dll
修改一小段%systemroot%\system32\spoolsv.exe的內碼
被修改的spoolsv.exe會調用%systemroot%\system32\svchost.exe
下載其他木馬類的東西
或者是會顯示惡意廣告
但似乎和地區有關係,此毒在非大陸地區會造成RPC錯誤進而讓系統一直重新啟動
清除方式大致如下:
開啟工作管理員將spoolsv.exe和使用者名稱為自己使用者名稱的svchost.exe關閉
刪除%systemroot%\system32\spoolsv.exe (有windows檔案保護的話spoolsv.exe會自己重新補回去,沒補的話就要自己補)
刪除sprint.dll
重開機
這樣基本上應該就ok
不知道怎麼作的....跑EFix吧,有針對他行為作一些特殊處理
-----------------------------------------------------------------------------
以下是抱怨:
在磁碟底下建立autorun.inf資料夾真的是很討厭
先不說他有沒有效果
起碼那個autorun.inf檔案要產生的話可以讓你知道系統出現異常進而處理
(比如防毒有抓到一直跳訊息,或者是磁碟點不開等等的)
像KAVO那一類的病毒你建立資料夾他就不會產生autorun.inf檔案沒錯
但那毒還是有在啊....變成也只是將問題隱藏起來而已
這不就是標準的駝鳥心態?
好這邊暫時先不管
EFix有一個類似像行為檢測的模式
大致是這樣
由於有很多隨身碟病毒他只是在執行後
將位在跟目錄的病毒檔案複製到系統各處
EX:
MSDOS.EXE的其中一種版本
會將自己複製到%systemroot%\system32\wuauclt.exe和%systemroot%\system32\wuauclt.exe
KAVO全系列變種
會將在跟目錄的病毒檔案複製到%systemroot%\system32\kavo.exe kxvo.exe那一類的....
那這樣就有一個方式可以處理掉變種,不管他怎麼變都有一定程度的能力處理掉
那就是類似像指紋認證的東西 EX: MD5
因為該病毒只是將他自己複製到其他地方而已,用複製的方式這些特徵就會一樣。
首先先從autorun.inf去抓取對應的病毒檔案
在去抓該病毒檔案的特徵碼以及檔案大小 EX:MD5
抓取到之後在去搜尋固定一些隨身碟病毒比較喜歡放置的位置並作比對
EX: %systemroot%、%systemroot%\system32
這樣就可以直接抓到該病毒.....
但那資料夾一建立,該檔案就無從抓起
無從抓起的情形下就是失效
結果這樣就造成EF清毒能力去掉一半...0rz
今天就碰到一個很明顯的案例
該病毒名稱為Win32.AutoRun.elc(瘋狂自由女孩病毒)
檔案名稱為亂數名稱 ( 一般是aqjbakuy.exe)
該病毒會將自己複製到%system%底下,複製兩次並將檔案名稱另外改名,並交叉執行
一般防毒處理不掉,因為會一直自我複製
OK,此檔案沒有在EF清單內沒錯,但EF的行為偵測法就可以正確抓取到
但苦主反應執行之後情形並無好轉。
經由苦主之前所執行的東西得到的結論就是
苦主有執行底下幾個東西
1.usbcleaner
2.木馬清除大師2008
3.kavo_killer
結果應該是3或者是1在跟目錄下建立了一個autorun.inf資料夾....
結果EF就抓取不到autorun.inf對應的病毒檔案
所以行為偵測法就完全沒有動作
結果就是抓不到.....
好一個autorun.inf資料夾
預防效果不是很高,倒是把一堆問題都隱藏起來了....
這不是好事。
抱怨完畢。 |
|
ps:由於巴哈姆特不是論壇,也不會限制別的網站外連,所以請yoyo大高抬貴手,別封殺
>"<.... 那邊也有不少知識性的討論,雖然是比不上專門的論壇,巴哈比較傾向一般的
聊天場所,而不是討論區(巴哈討論區有另外設立,性質類似bbs或論壇,與哈拉板有區別)
[ Last edited by yoyo007 on 2008-10-31 at 12:17 AM ]
|
|
2008-10-22 08:30 PM |
|
熾峰
中級會員
積分 1352
發文 103
註冊 2007-10-6
狀態 離線
|
|
|
2008-10-23 09:57 AM |
|
open5858
高級會員
電腦世界!!無遠弗界!!
積分 9978
發文 1214
註冊 2005-10-11
來自 tw
狀態 離線
|
#23
感謝 熾峰 大 將教學編譯成電子書方便收藏保存
下載收藏~~ ^_^
|
|
|
2008-10-23 03:28 PM |
|
wellsss
資深會員
積分 4338
發文 709
註冊 2006-5-5
狀態 離線
|
#24
感謝 熾峰 大將它編成電子書,二話不說這個作品也收藏了。
感謝,做電子書參考方便多了。
|
|
|
2008-10-23 04:22 PM |
|
達人奇兵
進階會員
壓力造就強者~
積分 1881
發文 570
註冊 2007-10-26
來自 藍色地帶~*
狀態 離線
|
#25
雖是粉久以前的中文化工具還是值得讚賞
謝謝樓主分享收下囉
|
 |
|
|
2008-10-26 05:15 PM |
|
yoyo007
論壇貴賓
菸草撐住的日子
 
積分 38778
發文 6170
註冊 2005-9-10
來自 滅絕希望的世界
狀態 離線
|
#26
| Quote: | Originally posted by wellsss at 2008-10-22 20:30:
感謝yoyo大的手動教學,教學檔做的很棒。
說真的對於ollydbg 還是有很多不了解的地方,
要用也不會用(汗)。 |
|
我比較汗,影片其實錄製的很粗糙,只是記錄我認為的一些要點而已。
| Quote: | Originally posted by wellsss at 2008-10-22 20:30:
khiav 兄運氣確實很好,上次我在巴哈網路防護版跟某位除毒專家討論EFix殺隨身毒軟體
,但有時作者本人也不會說明那是他做的,最後被板友提醒@@
那邊常常發除毒心得文的reinfors大就是EFix的作者呢!
【心得】sprint.dll造成的60秒關機和RPC錯誤
ps:由於巴哈姆特不是論壇,也不會限制別的網站外連,所以請yoyo大高抬貴手,別封殺
>"<.... 那邊也有不少知識性的討論,雖然是比不上專門的論壇,巴哈比較傾向一般的
聊天場所,而不是討論區(巴哈討論區有另外設立,性質類似bbs或論壇,與哈拉板有區別) |
|
抱歉,論壇廣告規範如此:http://www.centurys.net/viewthread.php?tid=151856,基於管理上的考量,實在無法通融,[巴哈姆特] 即使是哈拉區,發文回覆也都要求註冊,此例一破,勢必造成未來相似事件以此作為樣例據理爭辯,招致尷尬結果,所以連結還是去除了,僅轉載主題內文,文字註明作者和出處,不便之處,請多包涵。
EFix 沒有衝突,倒是可以推薦一下。
|
我從遠方來.你到遠方去
風。穿膛而過
蒼茫的月色.灼傷誰的眼眸… |
|
|
2008-10-31 12:18 AM |
|
cypdju
中級會員
積分 1041
發文 386
註冊 2006-10-14
狀態 離線
|
#27
真多謝~~
粉多成功案例
都要經過一番苦練啦!!
|
|
|
2009-3-27 02:25 AM |
|
sl8901
基本會員
積分 111
發文 37
註冊 2009-2-27
狀態 離線
|
#28 感謝大大
我是菜鳥再找適合的工具
來完成我的巢
希望他就是了
以後就不用再東試試西試試
|
|
|
2009-5-1 10:17 AM |
|
日興
一般會員
積分 439
發文 119
註冊 2009-4-22
來自 台中
狀態 離線
|
|
|
2009-5-4 02:59 AM |
|
dcen
中級會員
積分 1151
發文 223
註冊 2005-9-11
狀態 離線
|
#30
感謝 khiav大 分享漢化軟體,收下研究,謝啦.
|
|
|
2009-5-7 03:35 AM |
|
lbx1986926
資深會員
黑色碎片
積分 5223
發文 263
註冊 2005-12-24
來自 3D動畫 + Maya 的世界
狀態 離線
|
|
|
2009-5-8 11:43 AM |
|
